IT-Sicherheitsstandard B3S im KRANKENHAUS

 

Für den Datenschutz im Krankenhaus und anderen Gesundheitseinrichtungen gibt es spezifische Vorschriften des BSI. Krankenhäuser, die zu den Kritischen Infrastrukturen (KRITIS) zählen, müssen ihre IT-Security-Maßnahmen seit 2016 an dem branchenspezifischen Sicherheitsstandard B3S ausrichten, der von der Deutschen Krankenhausgesellschaft (DKG) entwickelt wurde.

 

Was besagt der Sicherheitsstandard B3S?

 

Der Sicherheitsstandard B3S gilt für Kliniken ab einer vollstationären Fallzahl von 30.000 pro Jahr. Im Zentrum der notwendigen Maßnahmen steht das Informationsrisikomanagement. Es hilft Kliniken dabei, Risiken für den Betriebsablauf zu erkennen und zu überwachen.

 

Im Abschnitt „Identitäts- und Rechtemanagement“ definiert das BSI fixe Vorgaben für die Behandlung von Benutzerkonten und Zugriffsrechten. Welche das sind, können Sie im Detail hier nachlesen.

 

Ein wichtiger Teil dieses Risikomanagements ist die Absicherung gegen externen und internen Datendiebstahl. Dieses Risiko können Gesundheitseinrichtungen durch die Implementierung einer Identity- und Access Management-Software wie tenfold maßgeblich reduzieren.

 

Was leistet Berechtigungsmanagement im Krankenhaus?

 

Das oberste Ziel in Sachen IT-Security im Krankenhaus ist es, die Gesundheitsdaten sowie andere sensible Informationen vor Zugriffen unbefugter Personen zu schützen. tenfold sorgt dafür, dass nach der Implementierung nur noch jene IT-User den Zugriff zu sensiblen Daten erhalten, die diesen auch tatsächlich für die Ausübung ihrer Arbeit benötigen (Least Privilege Prinzip).

 

Was passieren kann, wenn diese Zugriffskontrolle nicht gegeben ist, hat sich erst 2018 in einem Den Haager Krankenhaus gezeigt, das wegen Verstoßes gegen die DSGVO zu einer Strafe in Höhe von € 460.000 verurteilt wurde.


Download
Datenblatt ORBIS Schnittstelle
tenfold_Datenblatt_Orbis_de-1.pdf
Adobe Acrobat Dokument 37.7 KB
Download
Whitepaper IAM im Gesundheitswesen
tenfold_Whitepaper_IAM_Gesundheitswesen_
Adobe Acrobat Dokument 690.7 KB

 

Webinar: Identity und Access Management im Krankenhausbetrieb

 

Wenn Sie wissen möchten, wie die Compliance-gerechte Umsetzung des Sicherheitsstandards B3S für Krankenhäuser gelingt, besuchen Sie unser kostenloses Webinar.

Folgende Inhalte erwarten Sie:

 

·        Vor welchen Herausforderungen steht der IT-Schutz im Krankenhausbetrieb?

 

·        Wie gelingt der Spagat zwischen technologischem Fortschritt und einer Compliance-gerechten Infrastruktur?

 

·        Welche Anforderungen stellt der Sicherheitsstandard B3S des BSI an Gesundheitseinrichtungen im KRITIS-Umfeld?

 

·        Warum ist Berechtigungsmanagement für Krankenhäuser ein notwendiger Teil des Informationsrisikomanagements?

 

·        Welche Anforderungen stellt der B3S-Standard an Identity und Access Management?

 

Krankenhaussystem vor Datendiebstahl schützen

 

Für die Steuerung und Dokumentation der stationären und medizinischen Versorgung ist das Krankenhausinformationssystem (KIS) zuständig. Die hier gespeicherten Daten müssen gemäß dem Sicherheitsstandard einerseits jederzeit verfügbar sein und andererseits zuverlässig vor unbefugten Zugriffen geschützt werden.

 

Dies gelingt beispielsweise über ein globales Rollenmanagement, das nicht nur das Ausscheiden von Mitarbeitern abbildet, sondern auch Abteilungs- oder Positionswechsel. Das Rollenmanagement sorgt automatisch dafür, dass nicht mehr benötigte Berechtigungen entzogen, und für die neue Position erforderliche Zugriffsrechte zugeordnet werden.

 

Damit Krankenhäuser sämtliche sensiblen Daten und Zugriffsrechte zentral verwalten können, bietet tenfold eine Schnittstelle für das ganzheitliche Krankenhaus-Informationssystem ORBIS an.

 

Förderung für IAM Software

 

IT-Security in KRITIS-Krankenhäusern ist ein so wichtiges Thema, dass die Bunderegierung die Verbesserung der IT-Sicherheit 2019 sogar als neuen Fördertatbestand in den Krankenhausstrukturfonds aufgenommen hat. Für die aktuelle Förderperiode 2019-2024 stehen Kliniken 750 Millionen Euro für entsprechende Maßnahmen zur Verfügung. Alles Details über die Förderkriterien und die Antragsstellung finden Sie hier.